Новооткрита грешка в Safari 15 позволява на всеки уебсайт да проследява активността ви при сърфиране и дори може да разкрие вашата самоличност, ако сте потребител на Google.
Проблемът произтича от внедряването от Apple на IndexedDB, API за съхранение, който се поддържа широко от повечето съвременни браузъри и засяга потребителите на Mac, както и iPhone и iPad. Ето какво трябва да знаете.
Safari 15 изтича потребителски данни
IndexedDB е JavaScript API за уеб браузъри, който е предназначен да съхранява големи количества данни, включително файлове. Използва се от широк спектър от уеб приложения за съхраняване на данни на вашата машина, така че да се зареждат по-бързо и да реагират по-бързо.
IndexedDB използва това, което се нарича „политика за същия произход“ – механизъм за сигурност, който ограничава как документи или скриптове, заредени от един източник, могат да взаимодействат с ресурси от друг произход. С други думи, политиката за същия произход не позволява на уебсайта да има достъп до данни, запазени от друг.
Въпреки това, в Сафари 15, грешка не позволява на същата оригинална политика да работи правилно. Това дава на уебсайтовете достъп до базите данни, създадени от други сайтове, което им позволява да виждат вашите навици за сърфиране извън техните стени. Нещо повече, грешката може дори да разкрива самоличността ви.
Внимавайте, потребители на Google
„Освен това забелязахме, че в някои случаи уебсайтовете използват уникални специфични за потребителя идентификатори в имената на бази данни“, обяснява FingerprintJS, който пръв откри проблема. "Това означава, че удостоверените потребители могат да бъдат уникално и точно идентифицирани."
Това е така, защото някои популярни сайтове на Google – включително YouTube, Google Calendar и Google Keep – създават бази данни, които включват вашия удостоверен потребителски идентификатор на Google. Този идентификатор е сдвоен с един акаунт в Google (ваш) и може да се използва с API на Google за извличане на потребителска информация.
„Обърнете внимание, че тези течове не изискват никакво конкретно действие на потребителя“, предупреждава се в доклада. „Раздел или прозорец, който работи на заден план и непрекъснато отправя запитвания към API на IndexedDB за налични бази данни, може да научи какви други уебсайтове посещава потребителят в реално време.“
Частният режим не може да ви помогне
FingerprintJS провери топ 1000 уебсайта на Alexa, за да види колко от тях използват IndexedDB и намери повече от 30 които взаимодействат с API директно на началната си страница - без никакви специални взаимодействия с потребителя задължително. Така че някои сайтове биха могли да изстържат вашите данни и вие няма да знаете нищо за това.
„Подозираме, че този брой е значително по-висок в реални сценарии, тъй като уебсайтовете могат да взаимодействат с бази данни на подстраници, след конкретни действия на потребителя или на удостоверени части от страницата.“
За съжаление, частният режим на Safari също е засегнат от грешката. Въпреки това, тъй като частният режим ограничава сесиите за сърфиране до един раздел, той значително намалява количеството информация, налична в множество сайтове.
Вижте дали сте засегнати
Можете да разберете дали сте засегнати от този бъг, като посетите FingerprintJS' страница за доказателство на концепцията. Само с едно щракване ви показва какви данни изтича от Safari за вас – и всички потребителски идентификатори на Google, които може да открие. Това е просто приложение за демонстрационни цели и е напълно безопасно.
FingerprintJS съобщи за този проблем чрез WebKit Tracker за грешки на 28 ноември 2021г. Все още няма решение за това. В Safari 15 можете да направите малко, за да се защитите, освен да блокирате напълно JavaScript. Това обаче ще попречи на много уебсайтове да работят по предназначение и не е напълно ефективно.
Ако сте загрижени за този проблем, по-добре е да използвате друг уеб браузър, докато Apple не пусне корекция. И не забравяйте да инсталирате всички актуализации на Safari веднага щом са налични.